隨著物聯(lián)網(wǎng)、工業(yè)智能制造、大數(shù)據(jù)、云平臺等網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，各個系統(tǒng)領(lǐng)域被發(fā)現(xiàn)的安全威脅越來越多。病毒入侵、數(shù)據(jù)竊取、網(wǎng)絡(luò)攻擊等安全事件時(shí)常發(fā)生，網(wǎng)絡(luò)空間已然成為各國爭奪的重要戰(zhàn)略空間。為應(yīng)對網(wǎng)絡(luò)安全威脅，嚴(yán)守“關(guān)基”網(wǎng)絡(luò)安全底線，我國公安部自2016年開始組織多家機(jī)構(gòu)，對國內(nèi)基礎(chǔ)設(shè)施系統(tǒng)按照網(wǎng)絡(luò)安全要求，全面深入排查重點(diǎn)單位安全隱患，檢驗(yàn)各單位網(wǎng)絡(luò)安全防護(hù)能力。隨著HW系統(tǒng)開展涉及的行業(yè)更多、范圍更廣，“HW行動”作為我國關(guān)鍵資產(chǎn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)應(yīng)對的重要措施，各單位企業(yè)積極參與完成國家安全要求及自身安全建設(shè)成為了必須完成的基礎(chǔ)工作。

　　攻擊方思路分析

　　攻擊方采用滲透測試手段完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對目標(biāo)系統(tǒng)的安全做深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)，獲取目標(biāo)權(quán)限。各隊(duì)采用APT攻擊手段在短時(shí)間內(nèi)根據(jù)攻擊檢測目標(biāo)及在信息收集階段通過資產(chǎn)指紋掃描、漏洞掃描、端口掃描等手段收集到的各種問題進(jìn)行匯總分析對目標(biāo)進(jìn)行攻擊滲透。常見手段如下圖所示：

　　隨著護(hù)網(wǎng)中防護(hù)的發(fā)展攻擊方也在逐漸的改變常規(guī)思路，在攻防對立中尋求突破，攻擊過程中遇到的場景問題如下。

　　攻擊方由于目標(biāo)明確，且攻擊周期較短，往往采用自動化掃描進(jìn)行快速的獲取目標(biāo)相關(guān)信息，在此過程中容易被監(jiān)測發(fā)現(xiàn)進(jìn)行針對性封鎖與反制。

　　目標(biāo)方針對性臨時(shí)管理外部接口服務(wù)，防守方在HW前臨時(shí)關(guān)閉大量外部常用服務(wù)，HW期間部分單位采用斷網(wǎng)、斷電行為無法監(jiān)測，導(dǎo)致目標(biāo)量減少。

　　終端監(jiān)測及郵箱監(jiān)測加強(qiáng)，病毒查殺、準(zhǔn)入模式及沙箱的部署，致使webshell植入、木馬植入、水坑、魚叉攻擊成功率較低。

　　內(nèi)外網(wǎng)蜜罐誘捕系統(tǒng)的部署導(dǎo)致攻擊方易被捕獲。

　　攻擊突破方式

　　通過安全掃描搜索引擎、利用分布式掃描源迷惑目標(biāo)監(jiān)測系統(tǒng)、分布式掃描形式快速獲取目標(biāo)資產(chǎn)信息，根據(jù)指紋信息進(jìn)行逐步分析。

　　針對通用性系統(tǒng)如OA、CMS、堡壘機(jī)、安防設(shè)備進(jìn)行分析獲取相同版本0day漏洞存儲，根據(jù)指紋進(jìn)行針對性漏洞利用。

　　Webshell、木馬程序免殺制作，通過rce直接執(zhí)行powershell、反彈執(zhí)行控制權(quán)。

　　利用搜索引擎及開源源碼托管平臺進(jìn)行獲取用戶信息、源碼信息等內(nèi)容。

　　多方了解不同業(yè)務(wù)內(nèi)網(wǎng)構(gòu)成，熟悉業(yè)務(wù)情況，精準(zhǔn)捕獲核心數(shù)據(jù)。

　　防護(hù)思路分析

　　各單位防守方依據(jù)HW行動時(shí)間軸可分為四大階段，分別為備戰(zhàn)階段、臨戰(zhàn)階段、決戰(zhàn)階段、戰(zhàn)后總結(jié)進(jìn)行安全防護(hù)與應(yīng)急。

　　備戰(zhàn)階段目標(biāo)單位對安全現(xiàn)狀排查，進(jìn)行資產(chǎn)梳理、針對性風(fēng)險(xiǎn)評估、自查自糾、開展安全培訓(xùn)、建立安全防護(hù)體系；臨戰(zhàn)階段按照HW整體模式開展資產(chǎn)巡查、滲透測試、制定應(yīng)急預(yù)案、開展實(shí)戰(zhàn)應(yīng)急演練、依據(jù)內(nèi)外網(wǎng)檢測結(jié)果進(jìn)行系統(tǒng)加固及應(yīng)急優(yōu)化；決戰(zhàn)階段依據(jù)建立的安全防護(hù)應(yīng)急隊(duì)伍主要工作是完成了前期的準(zhǔn)備工作后的值守，進(jìn)行7*24小時(shí)現(xiàn)場值守，實(shí)時(shí)監(jiān)控安全態(tài)勢，并對安全事件進(jìn)行應(yīng)急響應(yīng)確保整個重大活動期間的安全保障，包含依據(jù)安全審計(jì)防護(hù)設(shè)備告警信息進(jìn)行實(shí)時(shí)監(jiān)控與上報(bào)、實(shí)時(shí)監(jiān)測重點(diǎn)系統(tǒng)的風(fēng)險(xiǎn)及安全隱患第一時(shí)間進(jìn)行應(yīng)急處置、現(xiàn)場依據(jù)策略調(diào)整進(jìn)行處理突發(fā)事件、針對產(chǎn)生的安全事件進(jìn)行應(yīng)急溯源分析等；戰(zhàn)后總結(jié)對本次護(hù)網(wǎng)的工作成果及不足進(jìn)行討論總結(jié)，并根據(jù)經(jīng)驗(yàn)持續(xù)改進(jìn)優(yōu)化網(wǎng)絡(luò)安全整體建設(shè)，網(wǎng)絡(luò)安全防護(hù)整體流程如圖所示：

　　在攻防博弈過程中，隨著攻擊手段的不斷發(fā)展及網(wǎng)絡(luò)運(yùn)營需求，防護(hù)的脆弱性仍然無法消除，每年仍存在大量的目標(biāo)淪陷的情況。其主要原因如下：

　　整體網(wǎng)絡(luò)安全建設(shè)薄弱，眾多企業(yè)邊界在前期網(wǎng)絡(luò)安全建設(shè)中為了系統(tǒng)高效運(yùn)行，弱化安全防護(hù)手段，往往只在邊界部署防火墻設(shè)備進(jìn)行相關(guān)防護(hù)，防護(hù)效果甚微。

　　安全意識淡薄，沒有形成主動防范、積極應(yīng)對的全民意識，測試系統(tǒng)、默認(rèn)口令、用戶弱口令、信息保護(hù)不足等問題導(dǎo)致安全事件產(chǎn)生。

　　過度依賴安全防護(hù)類產(chǎn)品，大量企業(yè)采購各類防護(hù)產(chǎn)品，但策略配置不當(dāng)、0day無法監(jiān)測、供應(yīng)產(chǎn)品自身漏洞問題致使安全事件產(chǎn)生。

　　資產(chǎn)排查存在遺漏，部分外部資產(chǎn)、待下線系統(tǒng)責(zé)任不明確，導(dǎo)致不在監(jiān)測范圍內(nèi)。

　　事前加固及處置排查能力有限，因服務(wù)人員能力、相關(guān)經(jīng)驗(yàn)不足、時(shí)間限制等無法全面排查安全風(fēng)險(xiǎn)及針對事件進(jìn)行快速的應(yīng)急處置。